开放银行的内涵

开放银行指银行向外部机构开放数据，让第三方开发人员围绕来自银行的数据开发应用和服务，催生出即插即用式的金融科技APIs，依托银行和外部机构的有效协调与合作，最终为客户带来更好的服务体验。开放银行有银行、外部机构、监管方和用户这四个参与方，银行是开放的主体；外部机构提供产品开发和技术增值；监管方保障开放银行生态的稳健运行；用户是初始数据的所有者和开放银行的受益人，用户价值最大化是开放银行的出发点和落脚点。

开放银行可以归纳为两条典型的发展脉络，自上而下的监管驱动型和自下而上的业务驱动型。欧洲属于前者，英国、欧盟在开放银行方面体现了制度先行。随着欧洲监管部门自上而下的推动，开放银行之理念逐步清晰而具体。在欧洲，开放银行与欧盟支付服务修订法案第二版（Payment Service Directive 2 ，简称PSD2）的联系日益紧密，其中包括支付发起数据共享和账户信息数据共享。欧洲开放银行的实践也引起了美国的注意，同时美国市场更多的是自发型数据共享，即银行重视数据价值的崛起，金融科技公司更是捕捉到了打通银行账户层与外部场景层的巨大机遇。同时，美国的监管者也在积极跟上，消费者金融保护局（Consumer Financial Protection Bureau，简称CFPB）也在认真研究并广泛征求社会意见的基础上于2017年10月18日发布了金融数据共享的9条指导意见。在亚洲，开放银行更多的也是市场驱动，例如基于API的广泛连接集，可以更好地共享账户和余额信息，最常见的是通过API进行账户汇总，第三方服务商可以让客户一次登录访问多家银行的账户。不论各个国家和地区开放银行的驱动因素、开放模式、开放特点如何，共同的是，开放已是大势所趋。

开放银行可能是一把双刃剑。悲观者认为，开放银行对于银行业没有太多好处，银行服务将退居底层化，沦为“哑管道”。普华永道近期开展的一项欧洲银行业调查表明，68%的受访银行认为PSD2会让银行业的处境变糟，主要威胁在于客户几乎越来越不需要与银行直接互动，银行的存在感渐行渐远。乐观者认为，银行业当下最大的挑战来自金融科技公司，银行业应以更加开放的心态，开启与金融科技公司的全面合作，通过数据交互催生出更为开放、多样的银行业态。银行应朝着一个集成平台发展，成为背景才能始终存在。开放银行是银行4.0阶段的起点，也是银行服务无界化的开始。

美国的典型模式——市场驱动型

摩根大通开放银行

摩根大通早已看到数据开放的价值，开放银行的概念对这家银行而言并不是什么新鲜事物。只不过，随着包括PSD2在内的新法规的引入，开放银行的势头正在增强。新规定意味着银行业正在与受监管的第三方提供商进行更紧密的合作，从而创造更多的选择和更好的用户体验。API正在加速这一过程，并通过启用可定制的实时、按需体验来简化客户旅程。

摩根大通正将开放银行之机遇变为现实。该行正为其全球在线银行平台J.P. Morgan Access开发API，提供端对端集成服务。例如，摩根大通已在司库服务（Treasury Services）中转向开放银行。开放银行和API正在加速创新，并帮助解决与现金管理和财务服务相关的一些传统难题。手动和重复性任务可以安全地自动化，系统可以更轻松地彼此集成，实时共享数据。实时数据的重点不仅在于实时扩展信息，还在于实时获得响应。一个最寻常的例子就是支付，一个步骤就可以完成发票核验、供应商选择和实时支付，从而为客户和其交易伙伴创造更好的体验。

花旗银行API开放

早在2016年，花旗银行就已经宣布启动全球API开发者中心，允许开发人员调用花旗银行多个类别的API，包括账户管理、支付、转账、信用卡、投资和账户授权等。花旗银行作为一家全球性银行，已经在澳大利亚、印度、印尼、墨西哥、俄罗斯、新加坡、英国、美国以及中国的香港和台湾等多个国家和地区开放API。

消费者金融保护局的指导意见

2010年出台的《多德-弗兰克法案》明确规定用户或者用户授权的机构，有权获取该用户在金融机构的金融交易数据。消费者金融保护局有保护用户共享数据的权力。这些规定为金融数据共享提供了法律依据。

2016年10月18日， CFPB发布经消费者授权的金融数据共享和整合原则，涉及九大方面，具体包括：

获取。消费者有权从产品和服务提供方实时获得自己对金融产品和服务所有权和使用情况的信息。消费者授权受信任的第三方从消费者账户提供方获取此类信息代表消费者使用它们。

数据范围和使用。消费者和经消费者授权可以获得的金融数据包括任何交易或者与消费者使用情况相关的内容。

控制和同意。经消费者授权获取、存储、使用和散布消费者数据的条款要能充分并高效地披露给消费者，要让消费者理解上述用途，条款包括获取的频率、数据范围和保存期限。

授权支付。经过授权的数据获取本身不是支付的授权。经过消费者授权的产品和服务提供商要发起支付需要获取消费者另外的明确授权。

安全性。消费者数据应该以能保护消费者免于遭受数据泄露的方式保存。

透明性。消费者应能了解，或易于查明，他们授权过的第三方如何获取并使用与他们账户和金融服务使用情况相关的信息。

准确性。消费者能预期他们获取的数据或授权他方获取或使用的数据是准确和及时的。

对非授权获取提出异议和解决争议。

有效的、切实可行的问责机制。

英国和欧盟模式——监管推动

欧洲的监管者一直在思考刺激经济发展的良方，他们注意到了寡头垄断下银行业生态的僵化保守，并试图通过用立法确定开放银行，倒逼银行业有效服务经济。2016年1月，欧盟PSD2正式推行生效，规定自2018年1月13日起，所有在欧盟的支付数据都必须对客户授权的第三方服务商开放，以此鼓励更多的竞争和创新金融服务。2016年8月，英国市场竞争委员会发布开放银行项目，要求英国九家最大的银行允许有执照的公司直接访问他们的数据。

开放银行推动英国银行业为中小企业服务

中小型企业，或员工少于250人，营业额低于5000万英镑（约合6370万美元）的企业，是英国经济的重要贡献者，经常被誉为该国的增长引擎。根据英国商业、能源和工业战略部的数据，2018年英国有570万中小企业，占所有企业数量的99%以上，雇用了1600万人，营业额达2000亿英镑。尽管它们很重要，但在历史上，中小企业一直未受到银行充分的金融服务，特别是在融资和支持服务等领域。在金融科技发展之前这些中小企业没有选择，因为它们处于一个主要商业银行寡头垄断的市场。

三个相互关联的新兴技术领域的发展开始打破这一切，即云计算、人工智能（AI）和开放式程序接口（APIs），带来更高的效率、更细分的业务领域、更低的服务成本、更多的金融服务参与者等。新的参与者开始意识到中小企业领域蕴含的机遇。

英国政府积极鼓励新参与者加入（如发放牌照），推动现有银行加强业务。其具体行动之一就是推动开放式银行，即允许消费者和中小企业（营业额须达到650万英镑）授予第三方提供商实时访问权限，通过开放式程序接口查询它们的交易数据。开放式银行将使中小企业能够灵活地使用多家银行，银行与第三方提供商之间的业务也会更加无缝，支持者认为它是一种更加安全、可靠和顺畅的数据共享方式。同时，新一代的小微企业主更倾向于移动在线完成所有工作，愿意并准备为更为便捷的服务付费，因为他们认识到这是增值的。

许多新兴银行正在部署尖端技术，以期为中小企业提供更加差异化和个性化的服务。如Starling于2016年7月获得英国金融行为监管局颁发的银行执照，该银行已经创建了Starling市场，允许客户访问选定的第三方金融服务，例如基于云的会计软件提供商Xero，小型商业保险经纪Zego以及收款和诚信合作伙伴Tailand Flux。

开放银行改变了英国银行业的竞争格局。2019年第一季度就有83家新注册的第三方服务商，除了监管要求的9家开放银行外，还有10多家银行自愿加入了开放银行体系。

欧盟PSD2-创新催化剂

PSD2重新定义了欧洲支付生态系统框架——通过促进支付服务和客户分销渠道的创新，推动向以客户为中心的服务转型。

个人和企业的支付模式将会深刻演变。一方面，PSD2使消费者能够使用第三方提供商的新付款方式直接向商家付款。PSD2还促成实时支付和收益结算，完善24/7结算基础设施，消除支付环节的摩擦点，加快消费者购买周期，从需求端刺激经济增长。另一方面，新模式可以转变商户在线销售模式，降低供应链风险，增加了企业营运资金效率，改善供应商与客户的关系。

PSD2的核心是通过API与所有欧洲银行的连接。PSD2为银行提供了开放其API的指引，以使第三方提供商可以融入整个支付网络中，促进竞争和创新。通过API，欧洲经济区的消费者或企业的银行账户都可以发起付款交易，而商家都可以通过简单安全的网关访问各家银行在线支付基础设施，一键获取销售收入。在未来的支付生态体系建设中，API将作为一个个模块，银行的IT开发将依靠这些模块而更加高效。

高度的互联将带来更卓越的服务和更深刻的转型。API带来的互联和灵活使第三方能以快速、简单和标准化的方式访问银行大量数据。因此，API不仅成为重新定义的支付生态系统的基础模块，而且还能为整个支付行业提供更大的价值。在银行的各项业务中，从市场预测到获客，从风险评估到业务管理，各个环节都需要洞察力。洞察力可以通过数据配置、处理能力和通信速度的提升来实现。而API作为互联的线索，将扮演关键角色。

客户对于数据的使用权限和隐私保护始终是重心。欧盟通用数据保护条例（General Data Protection Regulation, 简称GDPR）于2018年5月在欧盟生效，对违规行为处以巨额罚款，罚款最高为2000万欧元或者其全球收入的4%（取高者），法规强化了对客户信息使用知情权、数据使用协议理解权、数据“被遗忘权”的保护。鉴于该法规广泛的国际影响力，全球化的银行在协调各个地区的法规和标准（例如欧盟的PSD2、英国的开放式银行标准、美国的多德-弗兰克方案）时将面临特别的挑战。

除了美国、欧洲、英国外，日本、新加坡、澳大利亚、印度等国家也在开放银行领域纷纷行动。2015年印度在“数字印度”项目中提到开放API，2016年新加坡发布了API指导手册，2017年日本官方表态鼓励金融机构开放API，2018年澳大利亚发布开放银行指引等。

中国实践

中国的开放银行更多的是自下而上地由市场推动，监管也处于标准制定阶段。短短几年内，中国的金融科技公司已经成为电子商务、移动支付和小企业贷款的主导力量。通过挖掘银行尚未覆盖的服务群体，这些公司已逐渐建立一个生态系统，且目光聚焦于进一步的创新。早在“开放银行”概念正式提出前，拥有场景的互联网巨头和银行业先驱者就已经率先试水开放银行模式。

传统银行的“阵地”

中国的中小企业面临融资难问题，金融科技公司视之为机会。2018年，中小企业的不良贷款率为6.2%，其中大部分缺乏抵押物。虽然近期从监管到银行都加大了对中小企业的资金供给，但银行对中小企业贷款的成本依然高于大型企业客户。收益最大化需要低成本模式和高周转率，这正是金融科技的用武之地。金融科技公司虽然可以为中小企业提供贷款，但在资金体量上却无法与传统银行相比。这正是传统银行的优势领地。网商银行、微众银行和京东数字科技借助大数据和模型可以为传统银行评估并推荐客户。之后，银行对这些推荐客户进行风险评估，进而确定是否发放贷款。而前者通过为银行推荐客户收取小额费用。潜在客户不一定是银行现有的客户，这种模式也为较小的城市银行开辟了新的业务领域。

金融科技公司的“攻势”

金融科技公司支持银行进行互联。由于传统的系统和财务限制，银行无法快速将新技术应用于业务发展，金融科技及其子公司很清楚这一点，因此它们积极支持银行采用技术。例如，微众银行用免费的软件和公开界面在开源区块链运行其交易，可以使其他方能够轻松链接，同时使其操作现代化。微众银行支持小型银行加入区块链，所提供的技术完全是开源的，加入的小型银行可以轻松链接到微众银行的系统，而不必从头开始构建。随着金融科技巨头寻求扩大其业务范围，通过公开资源平台利用银行的技术接口就是探索的下一个领域。

5G科技的引领

5G势力引领开放式银行架构。中资银行正寻求5G科技的应用。四大行均与华为合作开发网上银行业务。在中国各银行寻求精简后台技术之际，华为建议银行建立智能数据产品，以便更全面地掌控持有的客户数据；建议银行应该转向开放的银行体系结构，使其能够接触到技术平台，这些平台将使他们的业务现代化，而无须执行构建所有的组成部分。事实上，随着技术的发展和竞争的加剧，国内开放银行的发展也开始加速。2017年，以华瑞银行、微众银行等为代表的民营银行首先布局。2018年以来，股份制银行和国有大行也加快了脚步，先后对外发布开放银行相关平台或发展规划。

央行的监管态度

央行意见首提开放银行生态建设。人民银行2019年印发的金融科技三年规划提出了27项主要任务，其中的第9项就是开放银行生态建设：“拓宽金融服务渠道，做强线上服务，丰富金融产品和业务模式，为客户提供全方位、多层次的线上金融服务，加快制定线上线下渠道布局规划和全渠道服务实施方案，增强跨渠道服务水平。借助API和SDK等手段深化跨界合作，在依法合规前提下将金融业务整合解构和模块封装，借助各行业优质渠道资源打造新型商业范式，实现资源最大化利用，构建开放、合作、供应的金融服务生态体系。”人民银行2020年2月发布了《商业银行应用程序接口安全管理规范》，明确商业银行可以通过API直接或者SDK间接连接方式提供应用程序接口服务，供外部机构通过互联网渠道调用，以实现银行金融服务能力和信息技术能力的对外输出。用户通过应用方向银行提出请求，银行返回的处理结果可以直接反馈给用户或者先由应用方接收再行反馈。随着开放银行实践和金融生态圈的快速演进，可以预见中国的监管顶层设计、指导意见也将逐步到位。

国内商业银行的“开放之路”

以开放的心态拥抱变革

面对似乎无法阻挡的时代浪潮，银行应积极拥抱变革，着手开展一系列动作。真正有远见的银行，不如勇敢跳上开放银行这趟时代列车，抓住利差制度红利逐渐弱化下的转型新机遇，主动去探索在开放式架构和新生态下的生存之路。一是形成自身对于开放银行的战略定位，明确自身的生态圈战略、与金融科技联合创新战略等。二是前瞻性地思考监管环境演变以及可能带来的影响，充分考虑监管强制要求开放以及自身主动开放两种情形。三是吃透关于数据安全和客户隐私方面的政策规定，分析监管演变趋势，确定应对策略，研究在硬软件能力上如何更好地匹配好数据要求。四是探索与金融科技和非金融服务公司的数据共享协议，保持前瞻性；厘清利益分配关系，在合作伊始就要对整体收益和分配方案达成战略共识。五是积极推动数据治理等重点领域的组织变革，建立敏捷工作模式，实现对快速迭代平台的有力支撑，从而快速响应市场变化。

严控数据隐私和信息安全

安全是开放的前提。银行经营的是信任，第三方提供的服务日新月异，但是客户的信任却不会一日建成，这也是银行能够成为底色存在的理由。开放银行的成功推进是基于完善的数据保护的。在开放银行建设进程中，存在数据泄露、网络安全、合作方欺诈、法律合规等风险，数据金矿有可能被有心之人另作他用。应确保数据所有人对于数据的占有、使用、收益和处分的权利。对保护个人数据的隐私和安全性的护栏的需求也给基础架构带来了巨大挑战。美国消费者金融保护局对于金融数据共享的9条指导意见，以及欧盟议会通过的GDPR具有较强的参考价值。例如，为了保护客户对于数据的控制权，摩根大通银行推出了一个名为“安全账户”（Account Safe）的新工具，该工具可让用户了解哪些应用程序正在使用其数据，并使他们可以控制其数据的使用，就是对第6条指导意见的积极回应。

更加重视金融科技

以人工智能、大数据、云计算等为代表的金融科技底层技术，深刻影响着银行的内部架构和外部环境。科技力量不仅仅带来一项具体的技术或业务解决方案，而是金融科技时代银行业战略转型的重要方向。可以看到，技术催生的“搅局者”、那些非传统金融机构正在无孔不入蚕食银行业市场。他们看到了银行服务的不足与空白，如中小企业客户，他们找到了这些客户，并通过强大的数据分析和服务体验，抓住了商机；他们嗅到了中国庞大的消费者支付市场，并取得了巨大成功。银行应该从中获得反思和激励。无论现在的收益如何，无论监管提供着什么样的“保护罩”，都不能故步自封。正如摩根大通CEO杰米·戴蒙所言，“大公司一夜之间崩溃，竞争对手吃掉了你的午餐，这些事时有发生。硅谷的时代即将到来。”商业银行不能低估金融科技的力量，要以时不我待的危机感、紧迫开放的心态迎接金融科技时代的到来，打赢科技竞技的下半场。

本文刊发于《清华金融评论》2020年6月刊，2020年6月5日出刊，编辑：王晔君